Hackeada: App Verificación Edad UE – Análisis 2026
La aplicación oficial de verificación de edad de la UE fue hackeada en febrero de 2026. Persona, el proveedor privado que respalda Discord y Reddit, dejó expuesto un servidor FedRAMP con 53 MB de código fuente, 2.456 archivos, y datos biométricos de miles de usuarios. Discord dejó de usarlo.
En 30 segundos
- Persona, el proveedor más grande de verificación de edad en plataformas como Discord y Reddit, tuvo su codebase completo expuesto en febrero de 2026.
- La app oficial de la UE tiene un fallo arquitectónico: el servidor no puede verificar que la verificación de edad ocurrió realmente en el dispositivo del usuario.
- Persona recopila IP, fingerprints de navegador, datos del gobierno, números de teléfono, y biometría facial durante hasta 3 años.
- 371 expertos en seguridad de 29 países pidieron frenar el rollout hasta que se resuelvan las vulnerabilidades de privacidad.
- Discord pasó de usar Persona a métodos de verificación propios después de que 70.000 usuarios quedaran expuestos en octubre de 2025.
La Comisión Europea presentó en abril de 2026 su aplicación de verificación de edad como solución para proteger menores en redes sociales. El sistema usa Zero Knowledge Proof, promete anonimato y asegura que no guarda datos personales. La realidad: tiene un fallo criptográfico que nadie aclaró públicamente hasta marzo, y el ecosistema privado detrás (principalmente Persona) es un desastre de seguridad.
El fallo de arquitectura en la app oficial de la UE
Ponele que descargás la app oficial, escaneás tu pasaporte, y la app te dice “verificado, sos mayor de edad”. Pero acá viene lo malo: la app hace la verificación en tu dispositivo sin conexión a internet. Cuando luego se conecta y le dice al servidor “che, soy mayor de edad”, el servidor no tiene forma de confirmar que eso fue verdad.
El servidor recibe un mensaje que dice “soy mayor” pero no puede validar que la verificación del pasaporte ocurrió realmente en el dispositivo. Para que eso funcione criptográficamente, la aplicación tendría que enviar datos criptográficos completos del pasaporte al servidor. ¿Y qué pasaría entonces? Exacto, estarías almacenando datos de pasaportes en un servidor europeo, reduciendo la privacidad que promete proteger.
Eso es lo que los criptógrafos llamaron el “catch-22” del sistema: privacidad OR seguridad. No podés tener ambas con esta arquitectura. Tema relacionado: aspectos críticos de seguridad y privacidad.
El desastre de Persona: 53 MB de código expuesto
Mientras la UE presentaba su solución, en febrero de 2026 investigadores de seguridad encontraron un servidor de Persona mal configurado en FedRAMP con acceso público. No había contraseña. El contenido: 53 MB de código fuente, 2.456 archivos JavaScript, y especificaciones técnicas de 269 tipos diferentes de verificaciones (pasaportes, licencias, permisos de conducir de 160+ países).
Persona no es solo una app de verificación de edad. Según TechDirt, el codebase expuesto reveló que Persona hace mucho más: reconocimiento facial, listas de vigilancia, screening de terrorismo, detección de entidades sospechosas, y análisis de movimientos corporales. Si tu cara no se mueve de forma “natural” durante el selfie, el sistema lo marca.
¿El peor dato? Discord usaba Persona para verificar edad. En octubre de 2025 (antes del breach público), 70.000 usuarios de Discord fueron expuestos. A los tres meses, Discord dijo “listo, nos vamos”.
Qué datos realmente se recopilan
La brecha de Persona no era solo el código. También expuso qué datos guarda la empresa.
- Identificadores técnicos: IP address, browser fingerprint, device fingerprint (modelo del teléfono, resolución, software).
- Información personal: Números de gobierno (DNI, pasaporte), números de teléfono, nombres completos.
- Biometría: Imagen facial (selfie), datos de análisis del rostro (pose, simetría, características), incluso métricas de si movés la cabeza de forma “sospechosa”.
- Metadatos editoriales: Controles de edad (por qué edad verifican), detección de inconsistencias (si tu cara hoy no coincide con tu foto del documento), suspicious-entity detection.
- Retención: Hasta 3 años.
Persona dice que es “compliant” con GDPR. La verdad es que con esos datos y ese tiempo de retención, estás armando un dataset de vigilancia biométrica masivo (si es que eso cuenta como “cumplimiento”).
Discord, Reddit y cientos de plataformas en riesgo
Persona verifica edad para:
- Discord (70.000 usuarios expuestos, octubre 2025)
- Reddit (millones de verificaciones de edad)
- Roblox (plataforma de menores)
- OpenAI (verificación para ChatGPT)
- Cientos de aplicaciones menores
Discord fue el primero en actuar después de la exposición de octubre. Para abril de 2026 ya había migrado a su propio sistema. El resto sigue usando Persona o proveedores similares. ¿El riesgo? Si un hacker tuvo acceso al servidor en febrero, también tuvo acceso a las integrations API, las credentials, y potencialmente históricos de verificaciones. Complementá con fundamentos de ciberseguridad que todo usuario debe conocer.
Vulnerabilidades criptográficas de eIDAS 2.0
La regulación europea que empuja todo esto se llama eIDAS 2.0. Define cómo debe funcionar la verificación de identidad digital en la UE. El problema: los mecanismos de protección de privacidad son opcionales, no obligatorios.
Los atributos hasheados que supuestamente protegen tu privacidad son insuficientes según estándares criptográficos internacionales. Los investigadores que analizaron el código de la app oficial detectaron que solo funciona el método basado en eID, mientras que métodos más seguros como document scanning y open-banking aún no están implementados.
En resumen: la regulación permite privacidad, pero no la obliga. La implementación es incompleta. Y los proveedores privados que complementan el sistema (como Persona) no respetan ni eso.
La advertencia de 371 expertos en seguridad
En marzo de 2026, 371 investigadores y académicos de 29 países firmaron una carta abierta pidiendo a la Comisión Europea que NO implemente el sistema hasta resolver las preocupaciones de privacidad y seguridad. La carta dice explícitamente que la verificación de edad es “peligrosa y socialmente inaceptable en la forma propuesta”.
¿Qué pasó después de la carta? La Comisión presentó la app de todas formas en abril. Fijate que es lo que siempre pasa: primero sale el “consenso científico”, después sale la regulación igual.
¿Qué diferencia tiene la app oficial de la UE?
Para no ser injusto: la app oficial de la UE NO es Persona. Usa Zero Knowledge Proof, que en teoría significa que el servidor verifica tu edad sin saber tu identidad real. Suena lindo. En manejo seguro de credenciales de acceso profundizamos sobre esto.
El problema técnico que mencioné arriba (el fallo de arquitectura) es de la app oficial. Los datos masivos, la retención de 3 años, el facial recognition agresivo, es de Persona y proveedores similares que las plataformas usan como alternativa privada.
Entonces tenés dos opciones: dejar que la app oficial te verifique (pero con un fallo criptográfico que nadie admite públicamente), o dejar que Discord/Reddit/Roblox usen un proveedor privado que guarde todo durante años. Así como lo leés.
Comparativa: sistemas de verificación de edad
| Sistema | Proveedor | Privacidad | Seguridad | Dato de retención | Riesgo actual |
|---|---|---|---|---|---|
| App oficial UE | Comisión Europea | Zero Knowledge Proof (teórica) | Fallo arquitectónico sin fix público | No publicado | Verificación no validable criptográficamente |
| Persona | Persona Inc. | Baja: guarda biometría y IDs | Crítica: breach febrero 2026 | Hasta 3 años | Datos de 70k usuarios expuestos |
| Discord (nuevo) | Discord | No publicada | Interna, aún sin auditoría pública | Desconocida | Bajo (es plataforma, no tercero) |
| Métodos tradicionales | Plataforma individual | Variable | Variable | Corta (semanas/meses) | Bajo si no almacenan biometría |
Errores comunes al evaluar verificación de edad
Error 1: Confundir “Zero Knowledge Proof” con “anonimato real”
La app oficial usa ZKP, que significa que teóricamente el servidor no sabe tu identidad. Pero los IP logs, los device fingerprints, los timestamps, son suficientes para correlacionar quién sos. ZKP sin privacidad en capas (network, transport, storage) es un juguete criptográfico.
Error 2: Asumir que “regulado por la UE” = “seguro”
La UE escribió una buena regulación en eIDAS 2.0, pero la implementación es incompleta. Los proveedores privados que complementan el sistema hacen lo que quieren. La regulación sin auditoría técnica independiente es papel mojado. Para más detalles técnicos, mirá prácticas recomendadas para asegurar sistemas.
Error 3: Creer que el breach de Persona es un problema de Persona solamente
No. El problem es arquitectónico. Si dejás datos sensibles en cualquier servidor en 2026, van a filtrarse. La solución no es “que Persona asegure mejor su infra”. Es “no recopilés datos sensibles en primer lugar”.
Preguntas Frecuentes
¿Fuui hackeado si usé verificación de edad en Discord antes de octubre de 2025?
Posiblemente. Si usaste Discord con Persona entre 2024 y octubre de 2025, tus datos (foto de carnet, biometría facial, IP) fueron almacenados. En febrero de 2026 ese servidor fue expuesto. Aún no se sabe si un attacker descargó los datos antes de que Persona lo arreglara.
¿La app oficial de la UE es más segura que Persona?
En teoría, sí. No recopila datos personales. En práctica, tiene un fallo arquitectónico que reduce su seguridad. Un experto en criptografía preferiría la app oficial (si fuera auditada públicamente). Un usuario preocupado por privacidad debería evitar ambas.
¿Mi edad será verificada si entro a redes sociales sin la app?
Por ahora, no obligatoriamente. La regulación europea está en rollout progresivo. Algunas plataformas usarán la app oficial, otras sus propios sistemas, otras usarán Persona o competidores. No hay un mandato único (todavía).
¿Persona sigue siendo usada después del breach de febrero?
Sí. Discord y algunas plataformas se fueron, pero Reddit, Roblox y cientos de aplicaciones menores aún lo usan. Persona dice que “arregló” el problema. Nadie confía, pero no hay alternativas consolidadas en el mercado.
¿Qué debería hacer como usuario?
Evita verificación de edad biométrica si podés. Si una plataforma te obliga, usa métodos que no recopilen foto de documento o selfie (algunos aceptan tarjeta de crédito). Si ese tampoco aplica, evaluá si realmente necesitás estar en esa plataforma. No es paranoia; los datos biométricos son irrevocables.
Conclusión
La verificación de edad en la UE es un caso de estudio en cómo regulación bien intencionada se cruza con implementación técnica deficiente. La app oficial tiene un fallo arquitectónico real. Los proveedores privados que la complementan (Persona, otros) recopilan datos como si estuviesen construyendo un dataset de vigilancia. Los breaches seguirán pasando porque almacenar biometría es intrinsecamente inseguro en 2026.
¿Qué cambió? La UE reconoció que hay un problema de menores en redes sociales, intentó regularlo, pero eligió un camino que sacrifica privacidad sin ganancia real de seguridad. 371 expertos lo advirtieron. La Comisión siguió adelante igual.
Si estás en una plataforma que te pide verificación de edad biométrica, leé sus políticas de retención de datos y considerá si realmente vale la pena. Si podés, usa alternativas que no guarden tu foto o no usen terceros. Si no podés, resolvelo rápido y espera que borren los datos (aunque dudo que lo hagan).
Fuentes
- Malwarebytes – Age Verification Vendor Persona Left Frontend Exposed
- TechDirt – Hackers Expose the Massive Surveillance Stack Hidden in Age Verification
- Comisión Europea – European Age Verification App
- Euronews – 371 Experts Warn Against Rushed Age Verification Rollout
- State of Surveillance – Persona Age Verification and Biometric Data Issues
